SóProvas

ID
56830
Banca
CESPE / CEBRASPE
Órgão
ANAC
Ano
2009
Provas
Disciplina
Segurança da Informação
Assuntos

Com relação à norma ISO 27001, julgue os itens a seguir.

Na implementação e operacionalização do sistema de gestão de segurança da informação, deve-se medir a eficácia dos controles propostos.

Alternativas
Comentários
  • Na minha opinião, apesar do gabarito definitivo trazer esta questão como certa, ela está errada, pois, segundo a Norma ABNT NBR ISO IEC 27001:2006:
     
    Em 4.2.2 implementar e operar o SGSI
    d) Definir como medir a eficácia dos controles ou grupos de controles selecionados, e especificar como estas medidas devem ser usadas para avaliar e eficácia dos controles de modo a produzir resultados comparáveis e reproduzíveis (ver 4.2.3c)
     
    4.2.3 Monitorar e analisar criticamente o SGSI
    c) Medir a eficácia dos controles para verificar que os requisitos de segurança da informação foram atendidos.
  • Concordo com o Alessander, pois na fase DO (implementar e operar) deve-se definir COMO medir a eficácia dos controles e não medi-los propriamente dito.
  • Boa tarde.
    Uma nova interpretacao para a questao, embora o texto da norma mostrado no comentario acima realmente indique a presença durante MONITORAR e ANALISAR : medicao somente pode ser realizada durante a execucao dos processos, que estaria ligado a OPERAR.
    Foi assim que raciocinei para responder, mas reconheço que o texto da norma aponta para MONITORAR e ANALISAR ... sabem se o gabarito mudou ?
    OBrigado.
     

  • Reforço a ideia de que a resposta do gabarito deveria ser Errado, assim como também reforço o conhecimento de que, na implementação e operação do SGSI, deve-se definir como medir a eficácia dos controles. Já a medição propriamente dita da eficácia dos controles fica a cargo da monitoração e análise crítica do SGSI.

  • Definir como medir: DO

    Medir: Check